RoguePlanet : une nouvelle zero-day Microsoft Defender divulgué dans la foulée du Patch Tuesday

01

Ce que l’on sait

Le 9 juin 2026, à peine quelques heures après que Microsoft a publié les correctifs de son Patch Tuesday mensuel, le chercheur Nightmare Eclipse a rendu public un nouvel exploit baptisé RoguePlanet, ciblant le moteur de Microsoft Defender. (1) Selon le chercheur, la vulnérabilité affecte des systèmes Windows 10 et Windows 11 entièrement à jour, et permet à un attaquant d’ouvrir une invite de commande disposant des privilèges SYSTEM, soit le plus haut niveau de contrôle d’une machine Windows. (1)(2)

Plusieurs publications spécialisées indiquent avoir pu valider le comportement décrit. BleepingComputer rapporte avoir reproduit la faille sur des systèmes Windows 11 entièrement corrigés intégrant la mise à jour de juin, et avoir confirmé l’obtention d’un shell SYSTEM. (1) Le chercheur précise toutefois que l’exploitation, fondée sur une condition de concurrence, demeure inconstante : il évoque un taux de réussite de cent pour cent sur certaines machines et des échecs sur d’autres. (1)(3)

02

La nature de la faille

RoguePlanet relève d’une race condition de type Time-of-Check to Time-of-Use, ou TOCTOU. Cette classe de vulnérabilité exploite l’intervalle temporel entre le moment où un logiciel vérifie une ressource et le moment où il agit sur elle. (4) Le moteur de remédiation de Defender effectue des opérations d’écriture privilégiées lorsqu’il traite des fichiers jugés malveillants ; une faiblesse dans la validation des chemins d’accès au cours de cette fenêtre peut conduire ces écritures de niveau SYSTEM à être détournées vers un emplacement choisi par un utilisateur non privilégié. (4)

Cette logique de redirection de chemin n’est pas nouvelle dans la série d’exploits du chercheur. Elle prolonge l’approche déjà observée avec BlueHammer, référencé CVE-2026-33825 et corrigé en avril 2026, ce qui suggère que les efforts de durcissement de Defender contre cette catégorie d’attaques restent incomplets. (4)

Le chercheur indique par ailleurs que RoguePlanet a d’abord pris la forme d’une exécution de code à distance, reposant sur l’ouverture par une victime d’un fichier disque hébergé sur un partage réseau. Un durcissement silencieux de Defender, déployé à la mi-mai sur une interface interne du moteur, aurait neutralisé le vecteur initial, l’obligeant à réécrire son code. Il déclare ne plus savoir, à ce stade, si la faille se limite désormais à une élévation de privilèges locale ou conserve un potentiel d’exécution à distance. (1)(2)

03

Systèmes affectés et portée

D’après le chercheur, l’exploit a été testé avec succès sur Windows 11, dans ses versions officielle et Canary, ainsi que sur Windows 10 intégrant la mise à jour de sécurité de juin 2026. (1) Le résultat constant d’une exploitation réussie est l’obtention d’un interpréteur de commandes SYSTEM, donnant à l’attaquant la capacité d’exécuter du code arbitraire avec les droits maximaux. (3)

Le périmètre serveur reste incertain. Le chercheur estime que l’ensemble des versions de Windows Server sont vraisemblablement vulnérables, tout en reconnaissant que le proof-of-concept publié ne fonctionne pas, en l’état, sur les installations serveur. (2) Il s’agit donc d’une limitation de l’outil diffusé, et non d’une garantie d’invulnérabilité de ces systèmes.

La criticité tient moins à la complexité d’exploitation qu’au niveau de privilège obtenu et à la cible visée. Un contournement du moteur de protection intégré à Windows, aboutissant à des droits SYSTEM, offre à un attaquant déjà présent sur une machine un tremplin direct vers la prise de contrôle complète de l’hôte.

04

Une série, pas un incident isolé

RoguePlanet s’inscrit dans une succession de divulgations attribuées au même chercheur depuis le début du mois d’avril 2026. Plusieurs sources recensent au moins sept exploits visant Defender ou d’autres composants de Windows : BlueHammer, référencé CVE-2026-33825, RedSun, référencé CVE-2026-41091, UnDefend, référencé CVE-2026-45498, puis YellowKey, GreenPlasma et MiniPlasma, et désormais RoguePlanet. (4)(5)

Le caractère systématique de ces publications pèse sur les défenseurs. Plusieurs des failles précédemment divulguées sans coordination, dont BlueHammer, RedSun et UnDefend, ont été observées en exploitation active après leur mise en ligne. (5) Le Patch Tuesday de juin 2026 a corrigé deux de ces exploits, GreenPlasma, une élévation de privilèges dans le Collaborative Translation Framework référencée CVE-2026-45586, et YellowKey, un contournement de BitLocker. (2)(6) RoguePlanet est arrivé dans les heures qui ont suivi, prolongeant le cycle.

05

Le différend sur la divulgation

Ces publications ne relèvent pas d’une démarche de divulgation coordonnée. Le chercheur les présente comme une réponse à un litige persistant avec Microsoft sur le traitement de ses signalements. Dans des billets signés cryptographiquement, il reproche à l’éditeur d’avoir révoqué son accès au portail du Microsoft Security Response Center, écarté ses rapports, refusé toute compensation et porté atteinte à sa réputation. (5)

Le conflit a débordé du seul terrain technique. Les comptes GitHub et GitLab utilisés par le chercheur pour héberger ses exploits ont été supprimés, une décision que le spécialiste Kevin Beaumont a critiquée comme un usage abusif, par Microsoft, de sa position de propriétaire de GitHub. (5)

De son côté, Microsoft a publiquement condamné ces divulgations non coordonnées, les jugeant injustifiables et exposant inutilement ses clients. L’éditeur a précisé ne pas avoir l’intention d’engager de poursuites contre des travaux de recherche légitimes, tout en indiquant qu’il collaborerait avec les autorités en cas d’activité causant un préjudice réel aux utilisateurs. (5)

06

Statut du correctif et risque opérationnel

À la date de publication, Microsoft n’a attribué ni identifiant CVE ni avis de sécurité à RoguePlanet. (4) La faille demeure donc sans correctif dédié, alors même que des chercheurs tiers ont confirmé la viabilité de l’exploit sur des configurations à jour. (1)

Le risque opérationnel doit être lu à la lumière de l’historique de la série. Les précédents outils du chercheur ayant été repris en exploitation active peu après leur diffusion, l’hypothèse d’une réutilisation de RoguePlanet par des acteurs malveillants ne peut être écartée, en particulier sur les parcs Windows 10 et Windows 11 exposés. La fenêtre d’exposition court jusqu’à la publication d’un correctif, dont le calendrier n’est pas connu.

07

Mesures défensives

En l’absence de correctif, la réduction de risque repose sur des contrôles compensatoires. Le contrôle applicatif par liste d’autorisation apparaît comme la mesure la plus directe : selon le dirigeant de l’éditeur ThreatLocker, l’allowlisting empêche l’exécution de l’exploit et constitue une couche de protection efficace contre cette attaque. (7)

Au-delà, plusieurs principes restent pertinents. Le maintien à jour de la plateforme Defender, distincte des mises à jour cumulatives de Windows, permet de bénéficier des durcissements successifs apportés au moteur. L’application du principe de moindre privilège limite la valeur d’une élévation locale, en réduisant le nombre de contextes depuis lesquels un attaquant peut tenter l’exploitation. Enfin, la surveillance des comportements anormaux liés au moteur de protection et aux processus s’exécutant en SYSTEM, via une solution EDR, contribue à la détection précoce.

Pour les équipes de réponse, la posture recommandée consiste à inventorier les systèmes Windows 10 et Windows 11 exposés, à vérifier la version de la plateforme Defender déployée, à renforcer les contrôles d’exécution sur les postes sensibles, et à suivre les communications de l’éditeur dans l’attente d’un correctif officiel.